Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Is it possible to prevent certain security group rules account/org wide?

0

i.e. say I want to prevent 0.0.0.0/0 or some arbitrary IP from ever being applied as a security group rule, is it possible to do this from a an organization/account wide control approach?

  • Chris_G ESPECIALISTA
    há 2 anos

    The first thing that comes to mind is using AWS Config with a Custom Rule built on a Lambda function, but I don't think this is the only way so I'm not writing this as an answer.

Tópicos
Rede e entrega de conteúdoGestão e governança
Tags
Amazon VPCAWS ConfigRede e entrega de conteúdoOrganizações da AWSGrupo de segurança
Idioma
English
AWSKid2k
feita há 2 anos2800 visualizações
1 Resposta
2
Resposta aceita

There is no condition on a IAM statement where you can reference the destination of an ingress rule. You can do a DETECTIVE control via AWS Config as Chris_G said in the comment. See:How to auto-remediate internet accessible ports with AWS Config and AWS Systems Manager

Maybe another way to approach this, depending on what you are trying to achieve, is to create a SCP that denies the CreateInternetGateway and AttachInternetGateway EC2 operations.

profile pictureAWS
ESPECIALISTA
kentrad
respondido há 2 anos

Você não está conectado. Fazer login para postar uma resposta.

Uma boa resposta responde claramente à pergunta, dá feedback construtivo e incentiva o crescimento profissional de quem perguntou.

Diretrizes para responder a perguntas

Conteúdo relevante